기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 추적 켜기
첫 번째 규정 준수 관련 프레임워크를 만들려면 우선 리소스 추적을 켜야 합니다. 이렇게 하면 AWS Backup 리소스를 AWS Config 추적할 수 있습니다. 리소스 추적을 관리하는 방법에 대한 기술 문서는 AWS Config 개발자 안내서의 콘솔 설정을 AWS Config 참조하십시오.
리소스 추적을 켜면 요금이 부과됩니다. AWS Backup Audit Manager의 리소스 추적 가격 및 청구에 대한 자세한 내용은 측정, 비용 및 청구를 참조하십시오.
주제
콘솔을 사용하여 리소스 추적 켜기
콘솔을 사용하여 리소스 추적 켜기
-
왼쪽 탐색 창의 Audit Manager 아래에서 프레임워크를 선택합니다.
-
리소스 추적 관리를 선택하여 리소스 추적을 활성화합니다.
-
AWS Config 설정으로 이동을 선택합니다.
-
기록 활성화 또는 비활성화를 선택합니다.
-
아래의 모든 리소스 유형에 대한 기록 활성화를 선택하거나, 일부 리소스 유형에 대한 기록을 활성화하도록 선택합니다. 컨트롤에 필요한 리소스 유형에 대한 내용은 AWS Backup Audit Manager 제어 및 수정을 참조하세요.
-
AWS Backup: backup plans
-
AWS Backup: backup vaults
-
AWS Backup: recovery points
-
AWS Backup: backup selection
참고
AWS Backup Audit Manager에는 모든 제어가 필요합니다
AWS Config: resource compliance
. -
-
닫기를 선택하세요.
-
리소스 추적 켜기라는 문구의 파란색 배너가 리소스 추적 켜짐이라는 문구의 녹색 배너로 전환될 때까지 기다립니다.
AWS Backup 콘솔의 두 위치에서 리소스 추적을 활성화했는지 여부와 활성화한 경우 기록 중인 리소스 유형을 확인할 수 있습니다. 왼쪽 탐색 창에서 다음 중 하나를 선택합니다.
-
프레임워크를 선택한 다음, AWS Config 레코더 상태 아래에서 텍스트를 선택합니다.
-
설정을 선택한 다음, AWS Config 레코더 상태 아래에서 텍스트를 선택합니다.
AWS Command Line Interface (AWS CLI)를 사용하여 리소스 추적 켜기
아직 온보딩하지 않은 경우 를 사용하여 온보딩하는 AWS Config것이 더 빠를 수 있습니다. AWS CLI
AWS CLI를 사용하여 리소스 추적을 켜려면
-
다음 명령을 입력하여 AWS Config 레코더를 이미 활성화했는지 확인합니다.
$ aws configservice describe-configuration-recorders
-
다음과 같이
ConfigurationRecorders
목록이 비어 있는 경우{ "ConfigurationRecorders": [] }
레코더가 활성화되지 않은 상태입니다. 2단계로 계속 진행하여 레코더를 생성하세요.
-
모든 리소스에 대해 이미 기록을 활성화한 경우
ConfigurationRecorders
출력은 다음과 같이 표시됩니다.{ "ConfigurationRecorders":[ { "recordingGroup":{ "allSupported":true, "resourceTypes":[ ], "includeGlobalResourceTypes":true }, "roleARN":"arn:aws:iam::[account]:role/[roleName]", "name":"default" } ] }
모든 리소스를 활성화했으므로 리소스 추적이 이미 켜져 있습니다. AWS Backup Audit Manager를 사용하기 위해 이 절차의 나머지 부분을 완료할 필요는 없습니다.
-
ConfigurationRecorders
이 레코더가 비어 있지는 않지만 모든 리소스에 대한 기록을 활성화하지 않은 경우, 다음 명령을 사용하여 기존 레코더에 백업 리소스를 추가하세요. 그런 다음 3단계로 건너뜁니다.$ aws configservice describe-configuration-recorders { "ConfigurationRecorders":[ { "name":"default", "roleARN":"arn:aws:iam::
accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] }
-
-
AWS Backup Audit Manager 리소스 유형을 사용하여 AWS Config 레코더 만들기
$ aws configservice put-configuration-recorder --configuration-recorder name=
default
, \ roleARN=arn:aws:iam::accountId
:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig \ --recording-group resourceTypes="['AWS::Backup::BackupPlan','AWS::Backup::BackupSelection', \ 'AWS::Backup::BackupVault','AWS::Backup::RecoveryPoint','AWS::Config::ResourceCompliance']" -
AWS Config 레코더에 대해 설명해 주세요.
$ aws configservice describe-configuration-recorders
출력을 다음 예상 출력과 비교하여 AWS Backup Audit Manager 리소스 유형이 있는지 확인하십시오.
{ "ConfigurationRecorders":[ { "name":"
default
", "roleARN":"arn:aws:iam::accountId
:role/AWSServiceRoleForConfig", "recordingGroup":{ "allSupported":false, "includeGlobalResourceTypes":false, "resourceTypes":[ "AWS::Backup::BackupPlan", "AWS::Backup::BackupSelection", "AWS::Backup::BackupVault", "AWS::Backup::RecoveryPoint", "AWS::Config::ResourceCompliance" ] } } ] } -
AWS Config 구성 파일을 저장할 대상으로 Amazon S3 버킷을 생성합니다.
$ aws s3api create-bucket --bucket
my-bucket
—regionus-east-1
-
사용
policy.json
버킷에 액세스할 수 있는 AWS Config 권한을 부여하기 위해서입니다. 다음 샘플을 참조하십시오.policy.json
.$ aws s3api put-bucket-policy --bucket
MyBucket
--policyfile://policy.json
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSConfigBucketPermissionsCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::
my-bucket
" }, { "Sid":"AWSConfigBucketExistenceCheck", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:ListBucket", "Resource":"arn:aws:s3:::my-bucket
" }, { "Sid":"AWSConfigBucketDelivery", "Effect":"Allow", "Principal":{ "Service":"config.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket
/*" } ] } -
버킷을 AWS Config 전송 채널로 구성하십시오.
$ aws configservice put-delivery-channel --delivery-channel name=
default
,s3BucketName=my-bucket
-
AWS Config 레코딩 활성화
$ aws configservice start-configuration-recorder --configuration-recorder-name
default
-
다음과 같은 방법으로
DescribeFramework
출력의 마지막 줄에 있는"FrameworkStatus":"ACTIVE"
를 확인합니다.$ aws backup describe-framework --framework-name
test
--regionus-east-1
{ "FrameworkName":"test", "FrameworkArn":"arn:aws:backup:us-east-1:
accountId
:framework:test-f0001b0a-0000-1111-ad3d-4444f5cc6666
", "FrameworkDescription":"", "FrameworkControls":[ { "ControlName":"BACKUP_RECOVERY_POINT_MINIMUM_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredRetentionDays", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_PLAN_MIN_FREQUENCY_AND_MIN_RETENTION_CHECK", "ControlInputParameters":[ { "ParameterName":"requiredFrequencyUnit", "ParameterValue":"hours" }, { "ParameterName":"requiredRetentionDays", "ParameterValue":"35" }, { "ParameterName":"requiredFrequencyValue", "ParameterValue":"1" } ], "ControlScope":{ } }, { "ControlName":"BACKUP_RESOURCES_PROTECTED_BY_BACKUP_PLAN", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_ENCRYPTED", "ControlInputParameters":[ ], "ControlScope":{ } }, { "ControlName":"BACKUP_RECOVERY_POINT_MANUAL_DELETION_DISABLED", "ControlInputParameters":[ ], "ControlScope":{ } } ], "CreationTime":1633463605.233, "DeploymentStatus":"COMPLETED", "FrameworkStatus":"ACTIVE" }
AWS CloudFormation 템플릿을 사용하여 리소스 추적 켜기
리소스 추적을 AWS CloudFormation 활성화하는 템플릿에 대해서는 AWS Backup Audit Manager와 함께 사용을 참조하십시오 AWS CloudFormation.